Aperçu sur la journalisation d’audit

Comment les services en ligne Microsoft utilisent-ils la journalisation d’audit ?

Les services en ligne Microsoft utilisent la journalisation d’audit pour détecter les activités non autorisées et assurer la responsabilité du personnel Microsoft. Les journaux d’audit capturent des détails sur les modifications de configuration système et les événements d’accès, avec des détails pour identifier qui était responsable de l’activité, quand et où l’activité a eu lieu, et quel était le résultat de l’activité. L’analyse automatisée des journaux prend en charge la détection en temps quasi réel de comportements suspects. Les incidents potentiels sont signalés à l’équipe de réponse de sécurité Microsoft appropriée pour examen plus approfondie.

La journalisation d’audit interne microsoft online services capture les données du journal à partir de différentes sources, telles que :

  • Journaux d’événements
  • Journaux AppLocker
  • Données de performances
  • System Center données
  • Enregistrements des détails des appels
  • Données de qualité de l’expérience
  • Journaux du serveur web IIS
  • SQL Server journaux
  • Données Syslog
  • Journaux d’audit de sécurité

Comment les services en ligne Microsoft centralisent-ils et signalent-ils les journaux d’audit ?

De nombreux types de données de journal sont téléchargés à partir de serveurs Microsoft vers une solution de surveillance de la sécurité propriétaire pour l’analyse en temps quasi réel (NRT) et un service de big data computing interne (Cosmos) ou Azure Data Explorer (Kusto) pour le stockage à long terme. Ce transfert de données se produit via une connexion TLS validée par FIPS 140-2 sur des ports et protocoles approuvés à l’aide d’outils de gestion automatique des journaux.

Les journaux sont traitées dans NRT à l’aide de méthodes basées sur des règles, statistiques et machine learning pour détecter les indicateurs de performances système et les événements de sécurité potentiels. Les modèles d’apprentissage automatique utilisent les données des journaux entrants et historiques stockées dans Cosmos ou Kusto pour améliorer en permanence les fonctionnalités de détection. Les détections liées à la sécurité génèrent des alertes, avertissant les ingénieurs de l’appel d’un incident potentiel et déclenchant des actions de correction automatisées le cas échéant. Outre la surveillance automatisée de la sécurité, les équipes de service utilisent des outils d’analyse et des tableaux de bord pour la corrélation de données, les requêtes interactives et l’analyse des données. Ces rapports sont utilisés pour surveiller et améliorer les performances globales du service.

Pour plus d’informations sur la surveillance de la sécurité et les alertes, voir la vue d’ensemble de la surveillance de la sécurité.

Auditer le flux de données.

Comment les services en ligne Microsoft protègent-ils les journaux d’audit ?

Les outils utilisés dans les services en ligne Microsoft pour collecter et traiter les enregistrements d’audit n’autorisent pas les modifications définitives ou irréversibles apportées au contenu de l’enregistrement d’audit d’origine ou à l’ordre de temps. L’accès aux données du service en ligne Microsoft Cosmos ou Kusto est limité au personnel autorisé. En outre, Microsoft limite la gestion des journaux d’audit à un sous-ensemble limité de membres de l’équipe de sécurité responsables des fonctionnalités d’audit. Le personnel de l’équipe de sécurité n’a pas d’accès administratif permanent Cosmos ou Kusto. L’accès administratif nécessite une approbation d’accès juste-à-temps (JIT) et toutes les modifications apportées aux mécanismes de journalisation pour Cosmos sont enregistrées et auditées. Les journaux d’audit sont conservés suffisamment longtemps pour prendre en charge les enquêtes sur les incidents et répondre aux exigences réglementaires. Période exacte de rétention des données du journal d’audit déterminée par les équipes de service ; la plupart des données du journal d’audit sont conservées pendant 90 jours Cosmos 180 jours dans Kusto.

Comment les services en ligne Microsoft protègent-ils les données personnelles des utilisateurs qui peuvent être capturées dans les journaux d’audit ?

Avant de charger les données du journal, une application de gestion automatisée des journaux utilise un service de nettoyage pour supprimer les champs qui contiennent des données client, telles que les informations client et les données personnelles de l’utilisateur, et remplacer ces champs par une valeur de hachage. Les journaux anonymisés et hachés sont réécrits, puis chargés dans Cosmos. Tous les transferts de journaux ont lieu sur une connexion chiffrée TLS (FIPS 140-2).

Les services en ligne de Microsoft sont régulièrement audités pour assurer la conformité avec les réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés à la journalisation d’audit.

Azure et Dynamics 365

Audits externes Section Date de rapport la plus récente
ISO 27001/27002

Déclaration d’applicabilité
Certification
A.12.4 : Journalisation et surveillance 2 décembre 2020
ISO 27017

Déclaration d’applicabilité
Certification
A.12.4 : Journalisation et surveillance 2 décembre 2020
ISO 27018

Déclaration d’applicabilité
Certification
A.12.4 : Journalisation et surveillance 2 décembre 2020
SOC 1 VM-1 : journalisation et collecte des événements de sécurité 31 mars 2021
SOC 2 C5-6 : Accès restreint aux journaux
VM-1 : journalisation et collecte des événements de sécurité
31 mars 2021

Office 365

Audits externes Section Date de rapport la plus récente
FedRAMP AU-2 : Événements d’audit
AU-3 : Contenu des enregistrements d’audit
AU-4 : Auditer la capacité de stockage
AU-5 : Réponse aux échecs de traitement d’audit
AU-6 : vérification, analyse et rapport d’audit
AU-7 : Réduction d’audit et génération de rapports
AU-8 : horodats
AU-9 : Protection des informations d’audit
AU-10 : non-répudiation
AU-11 : Rétention d’enregistrement d’audit
AU-12 : génération d’audit
24 septembre 2020
ISO 27001/27002/27017

Déclaration d’applicabilité
Certification
A.12.4 : Journalisation et surveillance 20 avril 2021
SOC 1
SOC 2
CA-48 : journalisation du centre de données
CA-60 : Journalisation d’audit
24 décembre 2020